SIDN Labs Portfolio Checker
Versie 20170307
Als je een flink aantal domeinnamen hebt en je wilt deze beveiligen met
DNSSEC,
dan bestaat altijd het gevaar dat je een paar details over het hoofd ziet en
niet alle domeinen correct gesigned zijn. SIDN Labs heeft daarom de
DNSSEC
portfolio-checker ontwikkeld, waarmee je dit op een snelle en eenvoudige manier
kunt controleren.
Selecteer een CSV bestand met domeinnamen
FAQ
- Hoe wordt er gecontroleerd?
- Je uploadt een CSV bestand met domein namen. Alle namen worden gecontroleerd, dus ook niet-.nl domein namen.
Er is een limiet ingesteld van 10000 domein namen (per run).
Er wordt per domeinnaam een DNSSEC-validatie via Unbound uitgevoerd.
De DNS-query vraagt om 'NS'-records. Er zal een willekeurige selectie van nameservers
plaatsvinden. Er is geen garantie dat al je slave nameservers worden gecheckt. Als er geen NS-records
zijn, levert dit een 'nodata'-antwoord op.
- Hoe ziet de uitvoer eruit?
- De uitvoer van deze check is:
domeinnaam, DNS error, security status, uitgebreide error indien bogus
De security-status kan zijn:
- secure: de domein naam is correct beveiligd met DNSSEC
- bogus: de domein naam is niet correct beveiligd met DNSSEC
- insecure: de domein naam is niet beveiligd met DNSSEC
Er kunnen legio oorzaken zijn als een domein bogus is. De error text van Unbound is
bedoeld om hierover opheldering te verschaffen. De DNS-error is nodata als Unbound de
gevraagde informatie (bijvoorbeeld NS records) niet kan vinden in het DNS.
De uitvoer is gesorteerd op de security status, dus alle bogus domeinen komen vooraan te staan.
- Kan er ook een enkele domein naam worden gecontroleerd?
- Uiteraard is dat mogelijk door een bestand te uploaden dat maar één domein naam bevat. Of je kunt
een URL gebruiken die een RESTful-achtige interface aanbiedt:
Bijvoorbeeld: portfolio.sidnlabs.nl/check/www.example.nl
LET OP: hier wordt om 'A'-records gevraagd. De uitvoer is gelijk aan de portfolio-checker uitvoer (CSV).
Optioneel kan aan de RESTful interface ook een DNS recordtype worden meegeven, zodat er om iets anders gevraagd wordt
dan een A record.
Bijvoorbeeld: portfolio.sidnlabs.nl/check/example.nl/TXT
De lijst van DNS types die gebruikt kunnen worden is: SOA, A, NS, MX, TXT, AAAA, SRV, DS en DNSKEY .
De uitvoer daarvan is gelijk aan de portfolio-checker uitvoer (CSV),
- Welke software wordt gebruikt?
- Deze portfolio-checker gebruikt:
De software zelf is open source en is te vinden op github.com/SIDN/unboundcheck.
De gebruikte packages zijn github.com/miekg/dns en github.com/miekg/unbound.
Disclaimer
Dit is bèta software De software wordt
expliciet niet ondersteund door SIDN, maar door SIDN Labs.
De uitvoer kan op enig moment veranderen. Dus het advies is om voor belangrijk eigen gebruik, zelf de code
te compileren en deze tool op een eigen systeem te draaien. Eenvoudige installatie-instructies staan op
GitHub. Neem bij problemen met het gebruik van deze software
contact op met SIDN Labs via:
onze informatiepagina.
SIDN kan de portfolio-checker zelf gebruiken voor statistische doeleinden (% errors in de .nl-zone, etc.),
maar zal geen data publiceren over registrars.